Egy angliai biztonsági kutató rámutatott arra, hogy az angliai Halifax Bank oldalán olyan kliens oldali programok futnak, amik ellenőrzik, hogy a kliensen milyen portok vannak nyitva. A bank szerint ez biztonsági intézkedés, ezzel védik az ügyfeleiket, és véleményük szerint tevékenységük teljesen legális, hiszen azon túl, hogy ellenőrzik a nyitott portokat, más tevékenységet nem folytatnak. A biztonsági kutató ezzel szemben azzal érvel, hogy egyrészt, ha Ő, mint fehérsapkás hacker, felkérés nélkül szkennelné a bank rendszereit, azon nyomban megsértené a számítógépes visszaélésekről szóló törvényt (Computer Misuse Act), ahogy ez több független biztonsági kutatóval is megtörtént már. A bejelentő nem vitatja a bank jó szándékát, ám úgy véli az ilyen tevékenységhez a felhasználók explicit hozzájárulása szükséges, mely feltétel jelenleg nem teljesül. Véleménye szerint, ha a kód nem a belépő oldalon futna le, hanem bejelentkezés után, akkor legalább csak a saját ügyfelein végeznék a vizsgálatot és nem bárki gépén, aki az adott oldalt meglátogatja. Ennek kapcsán igyekszik felhívni a figyelmet arra, hogy a törvényeket nem lehet kettős mércével alkalmazni, azaz, vagy legális mindenki számára, hogy hozzájárulás hiányában végezzen port szkennelést, vagy jogszerűtlen, ebben ez esetben azonban a bank szorítkozzon saját ügyfeleire. Egyes biztonsági kutatók némileg vitatják a fenti álláspontot, rámutatva arra, hogy a port szkennelés a login oldalon történik, nem pedig a bank fő oldalán, illetve olyan vélemény is született, ami méltányolhatónak tartja ezt a tevékenységet, mindaddig, míg szándékos károkozás, vagy rosszindulatú tevékenységet nem folytat a szolgáltató. Mindezeken túl más szolgáltatók is alkalmaznak hasonló megoldásokat, melyek széles körben elfogadottak (Shodan, Censys, Xbox, PlayStation és számos IRC csatorna).
Az angol jogszabályok megengedik a kettős mércét?
2018. augusztus 8. 08:30